La vulnérabilité
Le 3 décembre 2025, une vulnérabilité critique (score CVSS 10/10) a été dévoilée, affectant plusieurs composants de l’écosystème React, notamment Next.js, React Router, ainsi que d’autres frameworks reposant sur React.
Cette faille, baptisée React2Shell, est référencée sous les identifiants CVE-2025-55182 et CVE-2025-66478.
Les versions concernées sont :
React : 19.0, 19.1 et 19.2
Next.js : versions 15 à 16
La vulnérabilité permet à un attaquant non authentifié d’envoyer des données spécialement conçues afin qu’elles soient interprétées comme du code sur le serveur.
Cela peut conduire à une exécution de commandes arbitraires côté serveur.
Impact sur GoFAST
GoFAST n'utilise pas directement React ni Next.js dans son architecture.
Dès la divulgation de la vulnérabilité, notre équipe a réalisé une analyse approfondie de l’impact sur les composants interconnectés, tels que Element et Jitsi, qui intègrent certaines dépendances liées à React. Cette analyse a confirmé que aucune de ces dépendances n’est affectée.
Ces informations sont diffusées à titre de référence.
Nous continuons de surveiller activement les éditeurs ainsi l’écosystème open source afin de détecter rapidement tout impact potentiel et garantir la sécurité continue de GoFAST.
